| Broj tweet poruka koje najverovatnije sadrže virus, 14. 04. 2009. (kliknite za veću sliku) |
Sajt twitter.com, koji je konceptom kratkih poruka (microblogging) brzo stekao popularnost, nije promakao zlonamernim hakerima. Naravno, to ne umanjuje značaj same ideje i sajta, ali bilo je samo pitanje trenutka kada će biti ozbiljnije napadnut.
Praznični napad
Iskustvo je pokazalo da napad obično počinje na neki veliki praznik. Korisnici više razmenjuju kratke poruke o tome gde su, šta rade, jedni drugima čestitaju praznike... Prvi simptomi napada uočeni su u subotu 11. aprila ujutru, dakle na Uskrs po gregorijanskom kalendaru. Kod korisnika se pojavila poruka I love www.StalkDaily.com! ili slična, koja je upućivala na navedenu adresu.
Ukoliko bi korisnik kliknuo na link, njegov profil bi automatski bio zaražen skriptom koji se nalazio na jednom od sajtova za besplatan hosting. Stanje se posle nekoliko sati pogoršava. Zahvaljujući propustu u Twitter servisima, kad se virus-skript uspešno „instalira“, on više ne zahteva nikakvu akciju korisnika. Dovoljno je da sledeća žrtva pregleda zaraženi profil i parazit se aktivira iz URL polja.
U praznične dane nije povećan samo broj poruka, nego je i smanjen broj prisutnih administratora, pa je reakcija na napad bila spora. Srećom, grupa stručnijih korisnika brzo je analizirala problem i, putem različitih foruma, upozorila korisnike Twitter-a na opasnost. Brzo su reagovale i antivirusne kuće, koje su analizirale skript i dodelile mu ime Worm:JS/Twettir.A, popularnije StalkDaily trojanac. Ipak, za samo 36 sati zaraženo je više od 10.000 poruka.
Kako se širi?
Sajt twitter.com je u poslednje vreme (ne baš blago) kritikovan zbog loše bezbednosti, i to s razlogom. Početkom marta, registrovan je niz tweet-spam poruka koje su sadržale link ka pornografskim sajtovima, dok je samo 10 dana kasnije otkriven veliki XSS (cross-site scripting) propust koji nije ispravljen do pojave StalkDaily trojanca.
Kako radi Worm:JS/Twettir.A? Poruka koja sadrži link do sajta StalkDaily.com u sebi sadrži i SCRIPT tag, tj. putanju do JavaScript fajla na sajtu uuuq.com. Među par stotina linija koda od posebnog značaja je isečak sa slike 1. Prva komanda obezbeđuje da poruka smeštena u promenjivoj update bude prikazana kao tweet na napadnutom profilu, dok će izmenjeni URL tag (druga komanda) sadržati link ka definisanoj Web adresi i nevidljivi deo u okviru SCRIPT taga. Pošto se sadržaj URL polja (greškom) interpretira u potpunosti, dovoljno je pogledati korisnički profil i „skriveni“ skript će se trenutno izvršiti.
Kako je „virus“ zapravo JavaScript program od svega par stotina redova, nije se dugo čekalo na prve modifikacije. Trenutno je najzastupljenija verzija Mikeyy (tvituje poruku Twitter, hire Mikeyy! (718) 312-8131), ali sve brže se širi i verzija koja koristi sajt bit.ly za redirekciju u tweet porukama.
StalkDaily trojanac je tek prva epizoda (proof of concept) čitave serije naslednika koji će mnogo ozbiljnije napasti Twitter. Nadležni su se maksimalno angažovali da spreče širenje postojećih verzija crva, i u tome uspevaju, ali ne mogu da spreče nove varijante. Tako će biti sve dok se problem ne reši na nivou Twitter servisa.
Jedan od načina da se kao korisnik zaštitite od većine sličnih napada, pa i Twitter crva, jeste korišćenje različitih dodataka za browser-e koji kontrolišu i onemogućavaju izvršavanje skriptova. Korisnicima Firefox-a preporučujemo odličan add-on NoScript (www.noscript.net ), dok za IE možete koristiti Internet Explorer Developer Toolbar. Redovan update AV baza se podrazumeva.
|